Перейти до

Рекомендованные сообщения


Проблемная ситуация. Пропадает связь с шлюзом на протяжении дня. 

 


Порт 1 - Debian шлюз (10.10.0.1)

Порт 2 - DHCP server (10.10.0.2)

Порты 3-5 - P3310b с включенным dhcp_snooping (его отключение тоже не помогает :).

Это часть сети в 1 влане. Остальная сеть - влан на абонента (accel-ipoe), работает нормально. 

 

Симптомы - перестает ходить арп к шлюзу, хотя свою подсеть клиентвидит. 

На шлюзе в арп-таблице мак пропадает ( "(10.10.0.35) at <incomplete> on bond0" ). Клиент не может пропингать шлюз.

По графику DHCP сервера видно скачки траффика, почти совпадают с  моментом падения.

 

На свиче настроен "filter dhcp_server". 

В логе свича пр ипроблеме появляется запись:

 Detected untrusted DHCP server (IP: 10.10.0.2, Port: 3)

 Detected untrusted DHCP server (IP: 10.10.0.2, Port: 4)

 Detected untrusted DHCP server (IP: 10.10.0.2, Port: 5)

Но этот айпи (DHCP сервера) находится во 2 порту. Если на олте отключить dhcp_snooping - проблема остается, а в лог свича не ругается.

 

Так же на свиче включен arp_spoofing_prevention, что наверное исключает arp-spoofing.

 

На шлюзе установлен Debian 7. 4 карточки в бондинге. Все абоненты в своем влане (accel-ipoe), кроме сегмента с олтами. Включен arp-proxy как в accel так и на интерфейсе bond0 (возможно с єтим связано). bond0 смотрит в сеть с олтами.

 

Проблему наблюдаю уже несколько дней. Идеи кончились.  

post-4773-0-93076700-1431621542_thumb.png

post-4773-0-34244800-1431621551_thumb.png

Відредаговано morfey
Ссылка на сообщение
Поделиться на других сайтах

поочередное отключение портов на которых висят олты что-то дает?

похоже на кольцо

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

Проблема появляется на несколько минут, не успею отследить ничего(. Только юзеров разозлит

Ссылка на сообщение
Поделиться на других сайтах

ок

сделай на этих портах loopback detection  :)

хоть поймешь с какого порта плюет гавнище

отвалится только тот отл который виновен

 

я поимаю что это не эндюзер порты, но другого в голову не лезет,

чем-то надо жертововать  :)

 

на олтах в логах ничего о петлях не было?

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

ок, раскинь три олта на разные вланы :)

или может это повод перевести эту часть сети тоже на влан-абон?  ;)

Відредаговано zulu_Radist
Ссылка на сообщение
Поделиться на других сайтах

и поменяй режим лупбека, у тебя походу стандартный по порту, поставь по Вланам (он тебе даже покажет в каком влане говнище). И проверь чтобы в логи заносилась запись о событии.

И поставь ограничения на бродкаст\юникаст\мультикаст на свиче.

И покажи на графиках всплеск чего у тебя ? а то как то совсем не понятно.

Ссылка на сообщение
Поделиться на других сайтах

Все прописал.

 

Всплеск хз чего, в логе dhcp сервера видел пару раз тучу запросов от одного клиента, может это паранойя уже)

 

Есть график выше и этот, за сегодня.

post-4773-0-59245800-1431626459_thumb.png

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

Проблема продолжается :(.  В одном из портов подключил тестовый олт. К нему подключил только ноут. Порт олта тоже изолирован Traffic segmentation. Видит только шлюз (порт 1). Тем не менее это не помогло.

Проблема на шлюзе с арпом?

Відредаговано morfey
Ссылка на сообщение
Поделиться на других сайтах

Все прописал.

 

Всплеск хз чего, в логе dhcp сервера видел пару раз тучу запросов от одного клиента, может это паранойя уже)

 

Есть график выше и этот, за сегодня.

У нас было похожее, когда немог получить ip адрес

Ссылка на сообщение
Поделиться на других сайтах

 

Все прописал.

 

Всплеск хз чего, в логе dhcp сервера видел пару раз тучу запросов от одного клиента, может это паранойя уже)

 

Есть график выше и этот, за сегодня.

У нас было похожее, когда немог получить ip адрес

 

Со статически назначеными адресами та же беда.

Ссылка на сообщение
Поделиться на других сайтах

может для пары юзеров "прибить гвоздями" арпы и посмотреть в момент падения доступны ли они или нет?

попробуйте еще арпингом поглядеть доступность "отсыхающих" узлов, в этот же момент можно сдампить арп активность в файлик для разбора полетов

Ссылка на сообщение
Поделиться на других сайтах

похоже на отсыхание арпов на дебиане

попробуйте поигратся с таймаутами арп кеша.

Прбовал, не помогало

 

может для пары юзеров "прибить гвоздями" арпы и посмотреть в момент падения доступны ли они или нет?

попробуйте еще арпингом поглядеть доступность "отсыхающих" узлов, в этот же момент можно сдампить арп активность в файлик для разбора полетов

Попробую, спасибо.

 

P.S. отключил proxy-arp в аццеле и родной. Пока ничего не отваливается.

Ссылка на сообщение
Поделиться на других сайтах

Сколько записей в арп-таблице линукса в обычном состоянии и вовремя трабла?

Что с таблицей коммутации свича в такие моменты?

Развещать тисипидампы на интерфейсы линукса и пописать арп обмен, а зате проанализировать не?

Відредаговано Гайджин
Ссылка на сообщение
Поделиться на других сайтах

может для пары юзеров "прибить гвоздями" арпы и посмотреть в момент падения доступны ли они или нет?

  Не доступно

 

Сколько записей в арп-таблице линукса в обычном состоянии и вовремя трабла?

Что с таблицей коммутации свича в такие моменты?

Развещать тисипидампы на интерфейсы линукса и пописать арп обмен, а зате проанализировать не?

 

Арп таблица в 1500-1600 записей. Во вребя трабла ~1200-1300 записей.
На свиче все ок. В 1 влане около 500 записей все время.
 
Дамп арпов http://91.234.0.2/dump.pcap
Ссылка на сообщение
Поделиться на других сайтах

 

 

Арп таблица в 1500-1600 записей. Во вребя трабла ~1200-1300 записей. На свиче все ок. В 1 влане около 500 записей все время.
Какой именно свич ?
Ссылка на сообщение
Поделиться на других сайтах

 

Арп таблица в 1500-1600 записей. Во вребя трабла ~1200-1300 записей. На свиче все ок. В 1 влане около 500 записей все время.
Какой именно свич ?

 

dgs-3120-24sc

Ссылка на сообщение
Поделиться на других сайтах

я бы для начала разбил 1 влан на три разных

авось всплывет только один падающий влан

я делаю влан на епон порт

Ссылка на сообщение
Поделиться на других сайтах
Опубліковано: (відредаговано)

я бы для начала разбил 1 влан на три разных

авось всплывет только один падающий влан

я делаю влан на епон порт

Так оно сейчас сегментировано длинковским traffic_segmentation. Получается траффик между олтами не бегает

Відредаговано morfey
Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Вхід

Уже зарегистрированы? Войдите здесь.

Войти сейчас
  • Зараз на сторінці   0 користувачів

    Немає користувачів, що переглядають цю сторінку.

  • Схожий контент

    • Від forella
      имеется схема gp3600-16(version 10.3.0D build 105479) - cisco nexus 3064 - шлюз на линуксе 
      на олт все ону одной модели model-id F601V6.0
      олт не видит петлю на порту\влан, а за олт циска переодически видит петлю и постоянно блочит
      по конфигу на олт 
      !version 10.3.0D build 105479
       
      gpon onu-config-template port1_1
      cmd-sequence 001 gpon onu tcont-virtual-port-bind-profile tvbind-default
      cmd-sequence 002 gpon onu uni 1 vlan-profile vlan1701_test
      cmd-sequence 003 gpon onu uni 1 uni-profile MTU
      cmd-sequence 004 gpon onu loopback-detect protocol private
      cmd-sequence 005 gpon onu uni 1 loopback-detect enable
      cmd-sequence 006 gpon onu flow-mapping-profile vlan1701
       
      interface TGigaEthernet0/1
      switchport trunk vlan-allowed 321,1601,1700-1716,2201
      switchport trunk vlan-untagged none
      switchport mode dot1q-tunnel-uplink
      dhcp snooping trust
      ip-source trust
      storm-control broadcast threshold 5
      storm-control multicast threshold 5
      storm-control unicast threshold 5
       
      interface GPON0/1
      gpon pre-config-template port1_1 bind-onuid 1-128
      gpon bind-onutype onutype-default-hgu precedence 127
      gpon bind-onutype onutype-default precedence 128
      filter dhcp
      switchport trunk vlan-allowed 321,1701,2201
      switchport trunk vlan-untagged none
      switchport mode trunk
      switchport protected 1
      storm-control broadcast threshold 1000
      storm-control multicast threshold 1000
      storm-control unicast threshold 5
       
      interface GPON0/1:1
      gpon onu model-id F601V6.0
      gpon onu tcont-virtual-port-bind-profile tvbind-default
      gpon onu flow-mapping-profile vlan1701
      gpon onu virtual-port 1 gem-port 256
      gpon onu tcont 1 alloc-id 259
      gpon onu loopback-detect protocol private
      gpon onu uni 1 vlan-profile vlan1701_test
      gpon onu uni 1 uni-profile MTU
      gpon onu uni 1 loopback-detect enable

      и глобально включено: loopback-detection
       
      по nexus логи:
      %L2FM-2-L2FM_MAC_FLAP_DISABLE_LEARN_N3K: Loops detected in the network for mac 3cfd.feab.c600 among ports Eth1/19 and Eth1/52 vlan 1701 - Disabling dynami
      c learning notifications for a period between 120 and 240 seconds on vlan 1701
      %L2FM-2-L2FM_MAC_FLAP_RE_ENABLE_LEARN_N3K: Re-enabling dynamic learning on vlan 1701
       
      Eth1/19(bdcom) - nexus - Eth1/52(linux(3cfd.feab.c600))
      (п.с. да, ону не из лучших конечно, но ходовые, может у кого была подобная проблема и кому-то удалось както решить ее)
    • Від Sashok1985
      Добрый день. Прошу помощи в теоретических познаниях. Есть у меня аплинк провайдер, с которого не допроситься 10G (нет у него свободного для меня порта). Но есть от него 2 штуки  1G линка в разных местах моей сети.
      Агрегацию (транк) сразу не рассматриваю, так как точки включения физически в разных железках и кроме этого, по одному волокну приходит натив, по второму тагет влан, оба этих канала (натив и тагет у провайдера в одном влане, 1220). Натив провайдера я превращаю в свой тагет 997 и шлю эти оба тегированых влана (1220 и 997) на свой сервер. То-есть в мой сервер они входят в разные сетевые адаптеры и с разными метками влана, но по факту, у провайдера вланы будут совпадать. Для чего это мне нужно? Я в каждом влане имею разные паблик айпи, и буду делить свой трафик между ними. Не получится ли при такой конфигурации петля. Ведь то что вылетит скажем с моего 997 влана, попадёт на стороне провайдера в его 1220 влан, который также есть на моей второй сетевой карте сервера. Единственное что хорошо, то что сетевые адаптеры у меня разные, следовательно маки разные. Но у прова то мак шлюза один и я его получается буду видеть в обоих свих интерфейсах, как в 997 так и в 1220. Для большей наглядности, рисую  примерную схему.

    • Від linki
      В офисе есть один старичок des, который родился еще до LoopBack Detection, но в нем есть spanning tree. Вопрос: spanning tree действительно не умеет бороться с петлями  на порту ? 
      как бы читал про LoopBack Detection и spanning tree, понял что spanning tree это немного другая функция в отличие от LoopBack Detection, хотя и схожа 
    • Від adik_v
      как бороться с левыми dhcp и ARP-spoofing в wi-fi сети ?
    • Від REV
      Доброго всем времени суток!)
      Из-за не особо клевой работы функционала mac-based-acсess, которой удавалось авторегистрировать маки. Было решено пересесть на vlan-per-user.
      Попробовал такую штуку как accel-ipoe - прикольно!)
      Но вот пока все работает так, что для каждого абонента создается vlan.
      Но там ведь есть функция в конфиге vlan-mon, чтобы мониторить вланы на интерфейсе.
      В биллинге можно сделать соответствие влан-порт(как для ip unnambered vlan).
      Так вот, можно-ли реализовать такую схему используя qinq:
      Есть маршрутизатор на debian дальше на агрегации foxgate c704, а после длинки разные 3200-хх.
      Можно-ли к примеру паковать на длинке влан в влан с помощью qinq? А то эта штука на агрегации не умеет корректно распаковывать эти вторые теги. Она просто будет транспортировать влан в который все упаковано.
      А уже на маршрутизаторе с accel-ем он их все-равно распознает функцией мониторинга вланов.
      Надо-ли патчить сетевые на сервере, из-за лишних 4 байтов, этого второго тега? Или достаточно изменить mtu на сетевых сервера, или включить между Dlink-ом и foxgat-ом JumboFrame?
      Реально-ли так вообще?
      может быть, кто подскажет советом...
      А то собрал пока на стенде, все вышеописанное но дальше влана в который все остальные упаковываются (eth1.21), не идет.
      Пробовал создать на сервере влан со вторым тегом, и пропинговать его с коммутатора доступа - не вышло.
      Мот схему нарисовать...выложить?
      Просто я запутываться начинаю, опыта мало(
      Спасибо заранее!)
       
×
×
  • Створити нове...